未来の価値を創造する
情報セキュリティ対策
「未知のランサムウェア検知機能」による過剰検知(誤検知)の対応方法について
Q&A管理番号:1070001 更新日:2019年7月25日
| 対象製品 | EX AntiMalware、EX AntiMalware v7 |
|---|
| 対象Ver | V6、V7 |
|---|
「未知のランサムウェア検知機能」による過剰検知(誤検知)の対応方法について
不正な暗号化振る舞いを検知してブロックする仕様になりますが、正規の暗号化ソフトによる
連続したファイル暗号化、または正規のアプリによる連続したファイルへの操作に対しても
過剰に反応することがあります。
その場合は、下記の手順に沿って対応を行ってください。
はじめに
正規の暗号化ソフトやアプリも振る舞いによっては、検知対象になる可能性があります、
その場合は、除外設定を行いホワイトリストに登録する必要があります。
下記の例では、ウェブブラウザであるMicrosoft Edgeの振る舞いに対して過剰に反応したケースとなります。
MicrosoftEdgeCP.exeがtest[1].png、test[2].png、example10_2-206×206[1].pngのファイルを連続して
暗号化していると判定され、MicrosoftEdgeCP.exeの挙動がブロックされる共に警告ダイアログが表示されている状態です。
EX AntiMalware v7
ランサムウェア情報:
C:\Windows\System32\MicrosoftEdgeCP.exe
検知ファイル:
C:\Users\[USERNAME]\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cache\IOQZLLZS\test[1].png
C:\Users\[USERNAME]\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cache\A9G7C5N0\test[2].png
C:\Users\[USERNAME]\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cache\YZTKH4N6\example10_2-206×206[1].png
Ahkun EX AntiMalware
※こちらは動作テスト時の画面となります。
対処方法
Microsoft Edgeの例のように正規アプリの挙動がランサムウェアと判定されブロックされた
場合でも、ランサムウェアとして検知「ブロック」されたファイル(例では、MicrosoftEdgeCP.exe)の感染有無を確認する必要がありますので、カスタマーサポートまでお問い合わせください。
Mail : support@fuva-brain.co.jp
※可能であれば以下の情報をご記入ください
アカウントID
ご連絡先
ご担当者
未知のランサムウェア検知時の状況(何をしている時に検知されたのか)
ランサムウェア情報と検知ファイル
ただし、カスタマーサポート窓口の対応時間外で緊急な対応が必要な場合は下記の手順に沿って対応を行ってください。
※緊急対応は不要な場合は、該当PCをシャッドダウンせずにネットワークから切断(LANケーブルを外す)した状態で
カスタマーサポートの対応時間内にご連絡ください。
-
1
未知のランサムウェアとしてブロックされたファイルの感染有無を確認
①MicroSoft関連のソフト、またはお使いの業務関連ソフトが「ランサムウェア」として検知されている場合は誤検知の可能性が高いです。
下記は正規ソフトの振る舞いに対して過剰に反応した誤検知事例です。
・Officeなどの業務ソフト操作時に警告ダイアログが表示された。
・警告ダイアログの「ランサムウェア情報」がお使いの正規ソフトのファイルパスである。MicroSoft Office
ランサムウェア : C:\Program Files\WindowsApps\Microsoft.Office.Desktop.Word_16051.11629.20246.0_x86__8wekyb3d8bbwe\Office16\WINWORD.EXEランサムウェア : C:\Program Files\WindowsApps\Microsoft.Office.Desktop.Outlook_16051.11629.20246.0_x86__8wekyb3d8bbwe\Office16\OUTLOOK.EXE
ランサムウェア : C:\Program Files\WindowsApps\Microsoft.Office.Desktop.Excel_16051.11629.20246.0_x86__8wekyb3d8bbwe\Office16\EXCEL.EXE
Kingsoft Office
ランサムウェア :C:\Program Files (x86)\Kingsoft\WPS Office\10.8.0.6184\office6\wpp.exeランサムウェア :C:\Program Files (x86)\Kingsoft\WPS Office\10.8.2.6709\office6\et.exe
Adobe関連製品
ランサムウェア :c:\program files (x86)\common files\adobe\adobe desktop common\hdbox\setup.exe②ファイルのマルウェア検査を行うウェブサイトであるVirusTotalでランサムウェアとして検知されたファイルの感染有無をチェックします。
例)C:\Windows\System32\MicrosoftEdgeCP.exe
③上記手順の①と②で正常なファイルと判断できたら除外設定に進みます。
-
2
除外設定を行いホワイトリストに登録する上記1の手順で未知のランサムウェアとして検知(ブロック)されたファイルが正常なファイルと判断できた場合は「除外設定」をクリックし、確認ダイアログで「はい」をクリックします。
-
3
Managerのポリシーにも除外設定を行うクライアントプログラムでの除外設定は一時的なものとなりますので、60分以内にはManagerサーバとのポリシー通信で元の設定に戻ってしまいます。
Managerログイン→該当ポリシー→除外でも同じファイル名を除外設定に追加してください。
①EX AntiMalware Managerにログインし、除外設定を行います。
Q&A検索キーワードで探す
-
ハードウェア
製品・サービスの
テクニカルサポートについて
ご購入前の製品に関する技術的なご質問や製品評価時のご質問につきましては、弊社代理店または弊社営業担当までお問い合わせください。
